Syslog: заметки по настройки

Syslog (англ. system log — системный журнал) — стандарт отправки и регистрации сообщений о происходящих в системе событиях (то есть создания логов), использующийся в компьютерных сетях, работающих по протоколу IP. Термином «syslog» называют как ныне стандартизированный сетевой протокол syslog, так и программное обеспечение (приложение, библиотека), которое занимается отправкой/получением системных сообщений. Syslog был создан на платформе BSD и получил широкое распространение на UNIX и GNU/Linux-платформах. Это то что узнал из
Википедии.

Практика:

На сервере:

В начале файла /etc/rsyslog.conf для Linux (/usr/local/etc/rsyslog.conf для FreeBSD) нужно добавить:

#################
#### MODULES ####
#################

$ModLoad imudp ### Эти две строчки нужны для того, чтобы 
$UDPServerRun 514 ### сервер начал слушать порт UDP 514

В конце файла нужно добавить:

$template cisco_voip,"/var/log/voip/%$YEAR%%$MONTH%%$DAY%/%FROMHOST%.log"
:source, isequal, "x.x.x.x" ?cisco_voip
:source, isequal, "y.y.y.y" ?cisco_voip
:source, isequal, "z.z.z.z" ?cisco_voip

Пример настройки cisco:

1) Включение логирования всех комманд пользователей:

AS5350(config)#archive
AS5350(config-archive)#log config
AS5350(config-archive-log-cfg)#logging enable
AS5350(config-archive-log-cfg)#notify syslog
AS5350(config-archive-log-cfg)#hidekeys
AS5350(config-archive-log-cfg)#exit
AS5350(config-archive)#exit
AS5350(config)#exit
AS5350#

2) Настройка отправки логов на syslog:

AS5350(config)#logging on
AS5350(config)#logging trap debugging
AS5350(config)#logging facility local4
AS5350(config)#logging source-interface Loopback0
AS5350(config)#logging address syslog-srv-1
AS5350(config)#logging address syslog-srv-2

Пример настройки Audiocodes:

SyslogServerIP = 213.134.192.25
EnableSyslog = 1
ActivityListToLog = 'pvc', 'afl', 'dr', 'fb', 'swu', 'ard', 'naa', 'spc'
SyslogServerPort = 514

Или: Advanced Configuration --- Management Settings --- Syslog Settings

Сбор логов с VOIP-серверов

В конце файла /etc/rsyslog.conf для Linux (/usr/local/etc/rsyslog.conf для FreeBSD) нужно добавить:

########### REMOTE SYSLOG POLICY #########
*.info;mail.*;auth.*;authpriv.*;cron.* @address syslog-srv-1
*.info;mail.*;auth.*;authpriv.*;cron.* @address syslog-srv-2

Пример настройки rsyslog на стороне SYSLOG-сервера:

В начале файла /etc/rsyslog.conf для Linux (/usr/local/etc/rsyslog.conf для FreeBSD) нужно добавить:

#################
#### MODULES ####
#################

$ModLoad imudp ### Эти две строчки нужны для того, чтобы 
$UDPServerRun 514 ### сервер начал слушать порт UDP 514 

В конце файла нужно добавить:

$template cisco_voip,"/var/log/voip/%$YEAR%%$MONTH%%$DAY%/%FROMHOST%.log"
:fromhost-ip, isequal, "x.x.x.x" ?servers
:fromhost-ip, isequal, "x.x.x.x" ~